La mise en place prochaine d'un label « Cloud de confiance » avec des solutions pouvant être sous licence américaine continue de faire des remous, malgré la stratégie de communication positive des ministres concernés. InterHop pointe des zones de flou, le rôle de Capgemini étant contesté.
Il y a deux semaines, le gouvernement dévoilait sa nouvelle doctrine en matière de cloud. Une annonce suivie par celle de la création de Bleu, une entreprise commune entre les français Capgemini et Orange, devant proposer les services de Microsoft avec le label « Cloud de confiance » afin d'assurer protection et sécurité des données.
Critiquée par plusieurs entreprises françaises (du PaaS et de l'IaaS), la séquence a soulevé de nombreuses questions. Parmi elles, le rôle que jouera Capgemini qui a remporté en mai 2020 le marché public de l'Union des Groupements d'Achats Publics (Ugap) pour les services d’informatique en nuage (cloud externe, C3).
- Yann Klis (Scalingo), « le cœur de notre proposition de valeur c'est le logiciel »
- Cloud de confiance : Scaleway note des avancées mais « l’État semble abdiquer toute ambition »
Un marché dont elle risque d'être fournisseur et prestataire, alors qu'elle est déjà associée à certains des fournisseurs de ce marché dans différentes initiatives. Ce qui a fait réagir la plupart des acteurs interrogés.
La présence de Capgemini, un point de crispation
Arnaud de Bermingham, fondateur et Président de Scaleway était d'ailleurs intervenu publiquement suite à l'annonce de la création de Bleu, indiquant qu'il « y a la aussi un mélange des genres discutable et choquant. Ils sont titulaires du marché UGAP C3 et donc le guichet unique de la quasi totalité de la commande du Cloud de l’état ».
Même son de cloche chez Yann Klis de Scalingo, qui a accepté de nous répondre publiquement. Le premier y voit « un énorme problème en ce qui concerne le marché Cloud C3 de l'Ugap dont Capgemini est l'attributaire. Le marché nous semble caduc et doit être réattribué à un acteur qui soit neutre, qui ne fournit pas lui-même des services susceptibles d'être vendu via ce marché ».
Référencée dans le marché « Multi-éditeurs », la startup indique que « nos contacts chez Capgemini ont un peu fait trainer notre demande pour rentrer dans C3. Les critères d'entrée dans C3 ne sont pas très clairs pour nous et maintenant que Bleu est annoncé, cela pose question sur les échanges que nous avons eu avec Cap jusque-là... ».
Un problème également évoqué par Quentin Adam de Clever Cloud qui est en discussion « depuis des mois » avec Capgemini pour une intégration au marché C3, « mais on nous répond que rien n'est possible avant 2022 ».
L'Ugap botte en touche
Interrogée la semaine dernière, l'Ugap nous avait promis une réponse cette semaine. Elle est arrivée tôt hier, mais ne sera sans doute pas de nature à rassurer ceux qui s'inquiètent de la situation.
En effet, l'Union nous a simplement indiqué ne pas être « en capacité de répondre à vos questions. Nous n’avons pas assez de matière pour vous répondre de façon efficiente ». Malgré notre tentative d'obtenir une position plus précise, nous n'avons pas eu de retour complémentaire. Il faudra sans doute attendre que Bleu soit créée.
Les acteurs, fournisseurs et le prestataire exclusif du marché C3 de l'Ugap
InterHop s'interroge
Nous avons également questionné InterHop, l'association ayant été critique des choix opérés autour du Health Data Hub, elle est forcément attentive aux mouvements autour du cloud de confiance, les partenariats de Microsoft (hébergeur actuel du HDH via Azure) et des acteurs tels que Capgemini ou Orange.
Pour elle « trop de questions restent en suspend ». Elle pointe la question de l'isolement réel de la plateforme telle qu'elle sera mise en place. « Sera-t-elle strictement isolée du cloud Microsoft Azure géré par Microsoft ? ». L'une des questions est notamment de savoir si ce dernier fournira uniquement les briques logicielles, ou également le matériel, à savoir les serveurs qui seront utilisés au sein des datacenters d'Orange.
Nous avons interrogé le FAI sur le sujet, sans réponse pour le moment. Nous avons également demandé à l'ANSSI si une société française qui opèrerait des serveurs et un logiciel fournis par Microsoft pourrait obtenir le label Cloud de confiance du fait de sa gouvernance française et de ses pratiques internes.
InterHop voudrait également savoir si « le code source de Microsoft Azure sera audité par l'ANSSI pour garantir toute la confiance nécessaire ? ». L'association ajoute que « Capgemini via plusieurs filiales est très présente aux USA. On a pu mesurer l'ingérence américaine notamment lors du rachat d'Alstom par General Electric. Qu'en est-il de l'ingérence américaine sur des sociétés traitant en dollar ? »
« Les données de santé de plus de 70 millions de personnes devrait être gérées par des entreprises strictement sans lien avec des intérêts américains » tranche-t-elle, ajoutant que « la meilleure sécurité est l'ouverture : nous regrettons que les codes source du Health Data Hub (cf demande du CNLL) et de Microsoft Azure ne soient pas ouverts et que l'argument fallacieux de la sécurité par l'obscurité gagne toujours. Surtout après la circulaire du Premier ministre, la loi pour une République Numérique et la mission Bothorel ».